ویروس ها در گنو / لینوکس: واقعیت یا افسانه؟

هر وقت بحث تمام شد ویروس y گنو / لینوکس طولی نمی کشد که کاربر ظاهر می شود (معمولاً ویندوز) چی میگه:

«در لینوکس هیچ ویروسی وجود ندارد زیرا سازندگان این برنامه های مخرب وقت خود را برای انجام کاری برای سیستم عامل که تقریبا هیچ کس از آن استفاده نمی کند تلف نمی کنند »

من همیشه پاسخ داده ام:

"مشکل این نیست ، اما سازندگان این برنامه های مخرب در ایجاد چیزی که با اولین به روزرسانی سیستم اصلاح می شود ، حتی در کمتر از 24 ساعت وقت را تلف نمی کنند"

و من اشتباه نکردم ، زیرا این مقاله عالی که در شماره 90 (سال 2008) از مجله Todo Linux. بازیگر او دیوید سانتو اورسرو ما را به روشی فنی فراهم می کند (اما درک آن آسان است) توضیح اینکه چرا گنو / لینوکس فاقد این نوع نرم افزار مخرب است.

100٪ توصیه می شود. اکنون آنها مطالبی بیش از قانع کننده خواهند داشت تا هر کسی را که بدون پایه محکم در این مورد صحبت می کند ساکت کنند.

بارگیری مقاله (PDF): افسانه ها و حقایق: لینوکس و ویروس ها

 

ویرایش شده:

در اینجا مقاله رونویسی شده است ، زیرا فکر می کنیم خواندن این روش بسیار راحت تر است:

================================================================ ======================

بحث لینوکس و ویروس چیز جدیدی نیست. هر از چند گاهی ایمیلی را در لیست می بینیم که از شما می پرسد ویروس هایی برای لینوکس وجود دارد یا خیر. و به طور خودکار کسی پاسخ مثبت می دهد و ادعا می کند که اگر محبوبیت بیشتری ندارند به این دلیل است که لینوکس به اندازه ویندوز گسترده نیست. همچنین انتشارات مطبوعاتی مکرر از طرف توسعه دهندگان آنتی ویروس مبنی بر انتشار نسخه های ویروس های لینوکس منتشر می شود.

من شخصاً در مورد مسئله وجود یا عدم وجود ویروس در لینوکس ، بحث دیگری با افراد مختلف از طریق پست یا لیست توزیع داشته ام. این یک افسانه است ، اما از بین بردن یک افسانه یا بهتر است بگوییم یک حقه دشوار است ، خصوصاً اگر ناشی از منافع اقتصادی باشد. شخصی علاقه مند است این ایده را بیان کند که اگر لینوکس این نوع مشکلات را ندارد ، به این دلیل است که تعداد کمی از افراد از آن استفاده می کنند.

در زمان انتشار این گزارش ، دوست داشتم متن مشخصی در مورد وجود ویروس ها در لینوکس بنویسم. متأسفانه ، وقتی خرافات و منافع اقتصادی بیداد می کند ، ساختن چیزی قطعی دشوار است.
با این حال ، سعی خواهیم کرد در اینجا یک بحث کاملاً منطقی ارائه دهیم تا حملات هرکسی را که می خواهد بحث کند خلع سلاح کنیم.

ویروس چیست؟

اول از همه ، ما قصد داریم با تعریف ویروس چیست شروع کنیم. این برنامه ای است که خود کپی می شود و به طور خودکار اجرا می شود و هدف آن تغییر عملکرد طبیعی رایانه ، بدون اجازه و دانش کاربر است. برای انجام این کار ، ویروس ها فایلهای اجرایی را با دیگران آلوده به کد خود جایگزین می کنند. این تعریف استاندارد است و خلاصه ای از یک خط از ورودی ویکی پدیا در مورد ویروس ها است.
مهمترین قسمت این تعریف و تعریفی که ویروس را از بدافزارهای دیگر متمایز می کند این است که ویروس خود را نصب می کند ، بدون اجازه و دانش کاربر. اگر خود نصب نشود ، ویروس نیست: می تواند روت کیت یا تروجان باشد.

روت کیت یک وصله هسته است که به شما امکان می دهد فرآیندهای خاصی را از برنامه های کاربر منطقه پنهان کنید. به عبارت دیگر ، این یک تغییر در کد منبع هسته است که هدف آن این است که ابزارهایی که به ما اجازه می دهند ببینیم چه چیزی در حال اجرا است در هر زمان مشخص یک فرآیند خاص یا یک کاربر خاص را تجسم نمی کنند.

Trojan مشابه آن است: این یک تغییر در کد منبع یک سرویس خاص برای پنهان کردن برخی از اقدامات جعلی است. در هر دو مورد ، لازم است کد منبع نسخه دقیق نصب شده روی دستگاه لینوکس را بدست آورید ، کد را وصله کنید ، دوباره کامپایل کنید ، امتیازات مدیر را بدست آورید ، وصله اجرایی را نصب کنید و سرویس را در مورد Trojan تنظیم کنید. یا سیستم عامل. کامل - در مورد
روت کیت–. روند ، همانطور که می بینیم ، پیش پا افتاده نیست و هیچ کس نمی تواند همه اینها را "به اشتباه" انجام دهد. هر دوی آنها در نصب خود نیاز دارند که فردی با امتیازات مدیر ، آگاهانه مجموعه ای از مراحل را برای تصمیم گیری از ماهیت فنی اجرا کند.

که یک تفاوت معنایی بی اهمیت نیست: برای اینکه یک ویروس خود را نصب کند ، تنها کاری که باید انجام دهیم اجرای یک برنامه آلوده به عنوان یک کاربر مشترک است. از طرف دیگر ، برای نصب روت کیت یا Trojan ضروری است که یک انسان مخرب شخصاً وارد حساب ریشه یک ماشین شود و به روشی غیر خودکار ، یک سری مراحل را انجام دهد که به طور بالقوه قابل تشخیص هستند. ویروس به سرعت و به طور مثر گسترش می یابد. یک روت کیت یا یک تروجان برای هدف گیری خاص ما به آنها نیاز دارد.

انتقال ویروس در لینوکس:

بنابراین مکانیسم انتقال ویروس همان چیزی است که در واقع آن را چنین تعریف می کند و پایه ای برای وجود آن است. یک سیستم عامل نسبت به ویروس ها حساس تر است ، توسعه مکانیزم انتقال کارآمد و خودکار آسان تر است.

فرض کنید ویروسی داریم که می خواهد خودش شیوع پیدا کند. فرض کنید هنگام اجرای برنامه توسط یک کاربر عادی ، بی گناه راه اندازی شده باشد. این ویروس منحصراً دارای دو مکانیسم انتقال است:

• با لمس حافظه فرآیندهای دیگر ، خود را در همان زمان لنگر دهید و آنها را لمس کنید.
• باز کردن سیستمهای اجرایی سیستم فایل ، و افزودن کد آنها - بارگذاری - به اجرایی.

همه ویروسهایی که می توانیم آنها را به این ترتیب در نظر بگیریم حداقل یکی از این دو مکانیزم انتقال را دارند. ای این دو دیگر مکانیزمی وجود ندارد.
در مورد مکانیسم اول ، بیایید معماری حافظه مجازی لینوکس و نحوه کار پردازنده های Intel را بخاطر بسپاریم. اینها دارای چهار حلقه هستند که از 0 تا 3 شماره دارند. هرچه عدد کمتر باشد ، امتیازات کدی که در آن حلقه اجرا می شود بیشتر است. این حلقه ها با حالات پردازنده مطابقت دارند و بنابراین ، با کارکرد یک سیستم در یک حلقه خاص ، می توانند مطابقت داشته باشند. لینوکس از حلقه 0 برای هسته و حلقه 3 برای پردازش ها استفاده می کند. هیچ کد فرایندی وجود ندارد که روی حلقه 0 اجرا شود و هیچ کد هسته ای که روی حلقه 3 اجرا شود وجود ندارد. فقط یک نقطه ورودی از حلقه 3 به هسته وجود دارد: وقفه 80 ساعت ، که اجازه می دهد از منطقه ای که در آن قرار دارد بپرد کد کاربری مربوط به منطقه ای که کد هسته در آن قرار دارد.

معماری Unix به طور کلی و Linux به طور خاص گسترش ویروس ها را عملی نمی کند.

هسته با استفاده از حافظه مجازی باعث می شود هر فرآیند باور داشته باشد که تمام حافظه را برای خود دارد. یک فرآیند - که در حلقه 3 کار می کند - فقط می تواند حافظه مجازی را که برای آن تنظیم شده است ، برای حلقه ای که در آن کار می کند ، مشاهده کند. اینگونه نیست که حافظه فرایندهای دیگر محافظت شود. این است که برای یک فرآیند ، حافظه دیگران خارج از فضای آدرس است. اگر فرایندی تمام آدرس های حافظه را شکست دهد ، حتی نمی تواند به آدرس حافظه فرآیند دیگری مراجعه کند.

چرا این قابل فریب نیست؟
برای اصلاح آنچه در مورد نظر داده شده است - به عنوان مثال ، نقاط ورودی را در حلقه 0 ایجاد کنید ، بردارهای وقفه را اصلاح کنید ، حافظه مجازی را تغییر دهید ، LGDT mod را تغییر دهید - این فقط از حلقه 0 امکان پذیر است.
یعنی برای اینکه یک فرآیند بتواند حافظه فرایندهای دیگر یا هسته را لمس کند ، باید این هسته باشد. و اینکه یک نقطه ورود واحد وجود دارد و پارامترها از طریق رجیسترها منتقل می شوند ، دام را پیچیده می کند - در واقع ، از طریق رجیستر منتقل می شود تا اینکه چه کاری انجام شود ، و سپس به عنوان موردی در روال توجه اجرا می شود. وقفه 80 ساعته
سناریوی دیگر ، مورد سیستم های عامل با صدها تماس غیرمستند برای زنگ زدن 0 است ، درصورتی که این امکان وجود دارد - همیشه می توان یک تماس فراموش شده ضعیف اجرا کرد که می توان روی آن دام ایجاد کرد - اما در مورد یک سیستم عامل با چنین مکانیزم گام ساده ، اینگونه نیست.

به همین دلیل ، معماری حافظه مجازی از این مکانیسم انتقال جلوگیری می کند. هیچ فرآیندی - حتی آنهایی که دارای امتیازات ریشه هستند - راهی برای دسترسی به حافظه دیگران ندارند. ما می توانیم استدلال کنیم که یک فرآیند می تواند هسته را ببیند. آن را از آدرس حافظه منطقی خود 0xC0000000 ترسیم کرده است. اما ، به دلیل زنگ پردازنده ای که روی آن کار می کند ، نمی توانید آن را اصلاح کنید. این یک دام ایجاد می کند ، زیرا آنها مناطق حافظه ای هستند که به حلقه دیگری تعلق دارند.

"راه حل" برنامه ای است که کد هسته را هنگامی که یک فایل است اصلاح می کند. اما واقعیت این که اینها دوباره کامپایل می شوند ، این کار را غیرممکن می کند. باینری قابل وصله نیست ، زیرا میلیون ها هسته باینری مختلف در جهان وجود دارد. به سادگی که هنگام کامپایل کردن آن ، آنها چیزی را از هسته قابل اجرا قرار داده یا حذف کرده اند ، یا اندازه یکی از برچسب های شناسایی نسخه تلفیقی را تغییر داده اند - کاری که حتی به صورت غیرارادی انجام می شود - وصله باینری قابل استفاده نیست. گزینه دیگر این است که کد منبع را از اینترنت بارگیری کنید ، آن را وصله کنید ، برای سخت افزار مناسب پیکربندی کنید ، آن را کامپایل کنید ، نصب کنید و دستگاه را دوباره راه اندازی کنید. همه این کارها باید توسط یک برنامه ، به صورت خودکار انجام شود. یک چالش کاملاً بزرگ برای حوزه هوش مصنوعی.
همانطور که می بینیم ، حتی ویروس به عنوان ریشه نیز نمی تواند از این سد عبور کند. تنها راه حل باقی مانده انتقال بین پرونده های اجرایی است. همانطور که در زیر می بینیم کار نمی کند.

تجربه من به عنوان مدیر:

بیش از ده سال است که من با نصب بر روی صدها ماشین در مراکز داده ، آزمایشگاه های دانشجویی ، شرکت ها و غیره ، لینوکس را مدیریت می کنم.

• من هرگز ویروس "نگیرم"
• من هرگز کسی را ملاقات نکرده ام
• من هرگز کسی را ملاقات نکرده ام که کسی را ملاقات کرده باشد

من افراد بیشتری را دیده ام که هیولای Loch Ness را دیده اند تا ویروس های لینوکس.
من شخصاً اعتراف می کنم که بی پروا بوده ام و چندین برنامه را راه اندازی کرده ام که "متخصصان" خود خوانده آنها را "ویروس برای لینوکس" می نامند - از این به بعد ، آنها را ویروس خواهم نامید ، نه اینکه متن را مهم بدانم - ، از حساب معمول من در برابر دستگاه من برای دیدن امکان ویروس: هم ویروس bash که در اطراف آن گردش می کند - و اتفاقاً هیچ پرونده ای را آلوده نکرده است - و هم ویروسی که بسیار معروف شده و در مطبوعات ظاهر می شود. من سعی کردم آن را نصب کنم. و بعد از بیست دقیقه کار ، وقتی دیدم که یکی از خواسته های او داشتن دایرکتوری tmp در یک پارتیشن از نوع MSDOS است ، منصرف شدم. من شخصاً کسی را نمی شناسم که یک پارتیشن خاص برای tmp ایجاد کند و آن را به FAT قالب بندی کند.
در واقع ، برخی از ویروس های به اصطلاح من که برای لینوکس آزمایش کرده ام ، به دانش بالایی و رمزعبور ریشه برای نصب نیاز دارند. اگر به ویروس ویروس نیاز دارد که برای آلوده کردن دستگاه به مداخله فعال ما احتیاج داشته باشد ، حداقل می توانیم واجد شرایط "Crappy" شویم. بعلاوه ، در بعضی موارد به دانش گسترده ای از UNIX و رمز عبور root احتیاج دارند. که کاملاً از نصب اتوماتیک که قرار است باشد فاصله دارد.

آلوده کردن موارد اجرایی در Linux:

در لینوکس ، یک فرایند به سادگی می تواند آنچه را که کاربر موثر و گروه م itsثر آن اجازه می دهد ، انجام دهد. درست است که مکانیزمی برای مبادله کاربر واقعی با پول نقد وجود دارد ، اما چیز دیگر. اگر به محل اجرایی نگاهی بیندازیم ، خواهیم دید که فقط root هم در این دایرکتوری ها و هم در پرونده های موجود دارای امتیاز نوشتن است. به عبارت دیگر ، فقط root می تواند چنین پرونده هایی را اصلاح کند. این مورد در یونیکس از دهه 70 ، در لینوکس از زمان پیدایش و در یک سیستم پرونده ای که از امتیازات پشتیبانی می کند ، هنوز هیچ خطایی ظاهر نشده است که رفتارهای دیگر را اجازه دهد. ساختار پرونده های اجرایی ELF شناخته شده و کاملاً مستند است ، بنابراین از لحاظ فنی امکان بارگذاری پرونده بارگیری در پرونده ELF دیگری وجود دارد ... به شرطی که کاربر موثر اولین یا گروه موثر گروه باشد ابتدا دسترسی به دسترسی ، خواندن ، نوشتن و اجرا در پرونده دوم را داشته باشید. چند عامل اجرایی سیستم فایل می تواند به عنوان یک کاربر مشترک آلوده کند؟
این س answerال یک پاسخ ساده دارد ، اگر می خواهیم بدانیم چند پرونده را می توانیم "آلوده" کنیم ، دستور را اجرا می کنیم:

$ find / -type f -perm -o=rwx -o \( -perm -g=rwx -group `id -g` \) -o \( -perm -u=rwx -user `id -u` \) -print 2> /dev/null | grep -v /proc

ما فهرست / proc را حذف می کنیم زیرا این یک سیستم پرونده مجازی است که اطلاعات مربوط به عملکرد سیستم عامل را نمایش می دهد. پرونده های نوع فایل با امتیازات اجرایی که متوجه خواهیم شد مشکلی ایجاد نمی کنند ، زیرا آنها اغلب پیوندهای مجازی هستند که به نظر می رسد خواندنی ، نوشته شده و اجرا می شوند و اگر کاربری آن را امتحان کند ، هرگز کار نمی کند. ما همچنین خطاها را به وفور رد می کنیم - از آنجا که ، به خصوص در / proc و / home ، دایرکتوری های زیادی وجود دارد که کاربر عادی نمی تواند وارد آنها شود - .این اسکریپت مدت زمان زیادی طول می کشد. در مورد خاص ما ، در ماشینی که چهار نفر کار می کنند ، جواب این بود:

/tmp/.ICE-unix/dcop52651205225188
/tmp/.ICE-unix/5279
/home/irbis/kradview-1.2/src
/kradview

این خروجی سه پرونده را نشان می دهد که در صورت اجرای ویروس فرضی می توانند آلوده شوند. دو مورد اول پرونده های نوع سوکت Unix هستند که هنگام راه اندازی حذف می شوند - و نمی توانند تحت تأثیر ویروس قرار بگیرند - و مورد سوم فایل برنامه در حال توسعه است که هر بار که دوباره کامپایل می شود پاک می شود. از نظر عملی ویروس گسترش نمی یابد.
از آنچه می بینیم ، تنها راه برای انتشار محموله ریشه ای بودن است. در این حالت ، برای کار با یک ویروس ، کاربران باید همیشه دارای امتیازات مدیر باشند. در این صورت ، می تواند پرونده ها را آلوده کند. اما در اینجا گیرایی وجود دارد: برای انتقال عفونت ، باید یکی دیگر از موارد قابل اجرا را بگیرید ، آن را برای کاربر دیگری که فقط از دستگاه به عنوان ریشه استفاده می کند پست کنید و مراحل را تکرار کنید.
در سیستم عامل هایی که لازم است یک مدیر برای کارهای معمول باشید یا بسیاری از برنامه های روزانه را اجرا کنید ، این می تواند موردی باشد. اما در یونیکس برای پیکربندی دستگاه و اصلاح پرونده های پیکربندی لازم است یک سرپرست باشید ، بنابراین تعداد کاربرانی که حساب ریشه از آنها به عنوان حساب روزانه استفاده می کند کم است. بیشتر است؛ برخی از توزیع های لینوکس حتی حساب root را فعال نمی کنند. تقریباً در همه آنها ، اگر به محیط گرافیکی دسترسی داشته باشید ، پس زمینه به شدت قرمز تغییر می کند و پیام های مداوم تکرار می شوند که به شما یادآوری می کنند که نباید از این حساب استفاده کنید.
سرانجام ، همه کارهایی که باید به عنوان root انجام شوند ، با یک دستور sudo و بدون خطر انجام می شوند.
به همین دلیل ، در لینوکس یک اجرایی نمی تواند دیگران را آلوده کند ، مادامی که ما از حساب root به عنوان حساب استفاده مشترک استفاده نمی کنیم. و اگرچه شرکت های آنتی ویروس اصرار دارند که ویروس هایی برای لینوکس وجود دارد ، اما واقعاً نزدیکترین چیزی که می تواند در Linux ایجاد شود ، Trojan در منطقه کاربر است. تنها راهی که این تروجان ها می توانند بر روی سیستم تأثیر بگذارند اجرای آن به صورت root و با امتیازات لازم است. اگر ما معمولاً از دستگاه به عنوان کاربر عادی استفاده می کنیم ، ممکن نیست روشی که توسط یک کاربر مشترک راه اندازی شده است ، سیستم را آلوده کند.

افسانه ها و دروغ ها:

ما بسیاری از افسانه ها ، حقه ها و دروغ های ساده در مورد ویروس ها را در لینوکس پیدا می کنیم. بیایید لیستی از آنها را بر اساس بحثی که مدتی پیش با نماینده تولیدکننده آنتی ویروس برای لینوکس انجام شد و از مقاله ای که در همین مجله منتشر شده بود ، بسیار آزرده خاطر کرد ، تهیه کنیم.
این بحث یک مثال مرجع خوب است ، زیرا تمام جنبه های ویروس ها را در لینوکس لمس می کند. ما می خواهیم همه این افسانه ها را یکی یکی مرور کنیم ، همانطور که در آن بحث خاص مطرح شد ، اما بارها در انجمن های دیگر تکرار شده است.

افسانه 1:
"همه برنامه های مخرب ، به ویژه ویروس ها ، برای آلوده شدن به امتیازات ریشه ای احتیاج ندارند ، به ویژه در مورد خاص ویروس های اجرایی (قالب ELF) که سایر موارد اجرایی را آلوده می کند".

پاسخ:
هرکسی که چنین ادعایی کند ، نمی داند سیستم امتیاز Unix چگونه کار می کند. برای تأثیرگذاری بر روی یک فایل ، ویروس نیاز به امتیاز خواندن دارد - برای اصلاح آن باید بخواند ، و نوشتن آن - برای معتبر بودن اصلاح - روی فایل اجرایی که می خواهد اجرا کند ، باید نوشته شود.
بدون استثنا همیشه اینگونه است. و در هر یک از توزیع ها ، کاربران غیر ریشه این امتیازات را ندارند. پس از آن فقط با ریشه نداشتن ، عفونت امکان پذیر نیست. آزمایش تجربی: در بخش قبلی ما یک اسکریپت ساده برای بررسی دامنه پرونده هایی که می توانند تحت تأثیر عفونت قرار بگیرند دیدیم. اگر آن را بر روی دستگاه خود راه اندازی کنیم ، خواهیم دید که چگونه قابل اغماض است ، و با توجه به پرونده های سیستم ، خالی است. همچنین ، برخلاف سیستم عامل ها مانند ویندوز ، برای انجام کارهای مشترک با برنامه هایی که معمولاً توسط کاربران عادی استفاده می شود ، نیازی به امتیاز مدیر ندارید.

افسانه 2:
"همچنین برای ورود از راه دور به سیستم نیازی به root نیست ، در مورد Slapper ، یک کرم که با سوiting استفاده از آسیب پذیری در SSL Apache (گواهینامه هایی که امکان برقراری ارتباط امن را فراهم می کند) ، شبکه خود را از ماشین های زامبی در سپتامبر 2002 ایجاد کرد.".

پاسخ:
این مثال اشاره به ویروس ندارد بلکه کرم است. تفاوت بسیار مهم است: کرم برنامه ای است که از یک سرویس برای انتقال اینترنت استفاده می کند. بر برنامه های محلی تأثیر نمی گذارد. بنابراین ، فقط بر روی سرورها تأثیر می گذارد. نه به ماشینهای خاص.
کرم ها همیشه بسیار کم بوده و از شیوع قابل توجهی برخوردارند. این سه واقعاً مهم در دهه 80 متولد شدند ، زمانی که اینترنت بی گناه بود و همه به همه اعتماد داشتند. بیایید به یاد داشته باشیم که آنها کسانی بودند که بر ارسال ، انگشت و ریزک تأثیر گذاشتند. امروز همه چیز پیچیده تر است. اگرچه نمی توان انکار کرد که آنها هنوز وجود دارند و اگر کنترل نشوند ، بسیار خطرناک هستند. اما اکنون ، زمان واکنش به کرم ها بسیار کوتاه است. این مورد Slapper است: کرم ایجاد شده بر روی یک آسیب پذیری که دو ماه قبل از ظهور خود کرم کشف و وصله شده است.
حتی با این فرض که همه کسانی که از لینوکس استفاده می کنند Apache را نصب و راه اندازی کرده اند ، به روزرسانی ماهانه بسته ها بیش از اندازه کافی بوده است که هرگز خطری نداشته باشد.
درست است که اشکال SSL که Slapper ایجاد کرد بسیار مهم بود - در واقع ، بزرگترین اشکال موجود در کل تاریخ SSL2 و SSL3 - و به همین ترتیب در عرض چند ساعت رفع شد. دو ماه بعد از پیدا شدن و حل این مشکل ، کسی روی یک اشکال که قبلا اصلاح شده است کرم ایجاد کرد و این قوی ترین مثالی است که می تواند به عنوان یک آسیب پذیری ارائه شود ، حداقل این اطمینان را می دهد.
به عنوان یک قاعده کلی ، راه حل کرم ها خرید یک آنتی ویروس ، نصب آن و اتلاف وقت محاسبات برای ماندگاری آن نیست. راه حل استفاده از سیستم بروزرسانی امنیتی توزیع ماست: با به روزرسانی توزیع ، مشکلی پیش نخواهد آمد. اجرای فقط سرویس های مورد نیاز ما نیز به دو دلیل ایده خوبی است: ما استفاده از منابع را بهبود می بخشیم و از مشکلات امنیتی جلوگیری می کنیم.

افسانه 3:
"فکر نمی کنم هسته آسیب پذیر نباشد. در واقع ، گروهی از برنامه های مخرب به نام LRK (Linux Rootkits Kernel) وجود دارد که دقیقاً مبتنی بر بهره برداری از آسیب پذیری ها در ماژول های هسته و جایگزینی باینری سیستم هستند.".

پاسخ:
rootkit اساساً یک وصله هسته است که به شما امکان می دهد وجود برخی از کاربران خاص و پردازش ها را از ابزارهای معمول پنهان کنید ، به لطف این واقعیت که آنها در فهرست / proc ظاهر نمی شوند. نکته عادی این است که آنها در پایان حمله از آن استفاده می کنند ، در وهله اول ، آنها از یک آسیب پذیری از راه دور برای دسترسی به دستگاه ما سو استفاده می کنند. سپس آنها دنباله ای از حملات را انجام می دهند تا امتیازات را افزایش دهند تا زمانی که حساب اصلی را داشته باشند. مشکلی که آنها این کار را می کنند این است که چگونه یک سرویس را بدون شناسایی شدن روی دستگاه ما نصب کنند: این همان جایی است که rootkit وارد می شود. کاربری ایجاد می شود که کاربر م ofثر سرویسی است که می خواهیم پنهان شود ، آنها rootkit را نصب می کنند و هم آن کاربر و هم همه پردازش های مربوط به آن کاربر را پنهان می کنند.
نحوه پنهان کردن وجود کاربر برای ویروس مفید است ، موضوعی است که می توانیم به طور کامل در مورد آن بحث کنیم ، اما ویروسی که برای نصب خود از روت کیت استفاده می کند جالب به نظر می رسد. بیایید مکانیک ویروس (در کد شبه) را تصور کنیم:
1) ویروس وارد سیستم می شود.
2) کد منبع هسته را پیدا کنید. اگر نباشد ، خودش نصب می کند.
3) هسته را برای گزینه های سخت افزاری که برای دستگاه مورد نظر اعمال می شود پیکربندی کنید.
4) هسته را کامپایل کنید.
5) هسته جدید را نصب کنید. در صورت لزوم تغییر LILO یا GRUB.
6) دستگاه را دوباره راه اندازی کنید.

مراحل (5) و (6) به امتیازات root احتیاج دارند. تا حدودی پیچیده است که مراحل (4) و (6) توسط افراد آلوده تشخیص داده نمی شود. اما نکته جالب این است که شخصی وجود دارد که معتقد است برنامه ای وجود دارد که می تواند مرحله (2) و (3) را به طور خودکار انجام دهد.
به عنوان یک نقطه اوج ، اگر با کسی روبرو شویم که به ما بگوید "وقتی دستگاههای لینوکس بیشتری وجود داشته باشد ویروس بیشتری وجود خواهد داشت" و توصیه کند که ما "یک آنتی ویروس نصب کرده و آن را به طور مداوم به روز کنیم" ، ممکن است مربوط به شرکتی باشد که فروش می کند آنتی ویروس و بروزرسانی ها مشکوک باشید ، احتمالاً همان مالک باشید.

آنتی ویروس برای لینوکس:

درست است که آنتی ویروس خوبی برای لینوکس وجود دارد. مشکل این است ، آنها آنچه را که طرفداران آنتی ویروس استدلال می کنند انجام نمی دهند. وظیفه آن فیلتر کردن نامه ای است که از بدافزار و ویروس ها به ویندوز منتقل می شود و همچنین بررسی وجود ویروس های ویندوز در پوشه های صادر شده از طریق SAMBA. بنابراین اگر از دستگاه خود به عنوان دروازه نامه یا NAS برای ماشین های ویندوز استفاده کنیم ، می توانیم از آنها محافظت کنیم.

Clam-AV:

ما بدون صحبت درباره آنتی ویروس اصلی GNU / Linux: ClamAV ، گزارش خود را به پایان نمی بریم.
ClamAV یک آنتی ویروس بسیار قدرتمند GPL است که برای بیشتر Unix موجود در بازار کامپایل می شود. برای تجزیه و تحلیل پیوست های پیام های ارسالی از طریق ایستگاه و فیلتر کردن آنها برای ویروس ها طراحی شده است.
این نرم افزار کاملاً با نامه پست الکترونیکی ادغام می شود تا فیلتر ویروسهایی را که می توانند در سرورهای لینوکس ذخیره کنند و نامه را برای شرکتها فراهم می کنند ، فیلتر شود. داشتن یک پایگاه داده ویروس که هر روز با پشتیبانی دیجیتالی به روز می شود. بانک اطلاعاتی هر روز چندین بار به روز می شود و یک پروژه پر جنب و جوش و بسیار جالب است.
این برنامه قدرتمند قادر به تجزیه و تحلیل ویروس ها حتی در پیوست ها با فرمت های پیچیده تر برای باز شدن است ، مانند RAR (2.0) ، Zip ، Gzip ، Bzip2 ، Tar ، MS OLE2 ، پرونده های MS Cabinet ، MS CHM (HTML چاپ شده) و MS SZDD .
ClamAV همچنین از پرونده های نامه mbox ، Maildir و RAW و فایلهای قابل حمل قابل فشرده سازی شده با UPX ، FSG و Petite پشتیبانی می کند. Clam AV و spamassassin جفت مناسبی برای محافظت از سرویس گیرندگان ویندوز ما در برابر سرورهای نامه یونیکس هستند.

نتیجه

به این س Areال که آیا آسیب پذیری در سیستم های لینوکس وجود دارد؟ پاسخ مطمئناً مثبت است.
هیچ کس در ذهن درست خود در آن شک ندارد. لینوکس OpenBSD نیست. مورد دیگر پنجره آسیب پذیری است که یک سیستم لینوکس دارد و به درستی به روز شده است. اگر از خود بپرسیم ، آیا ابزارهایی برای استفاده از این حفره های امنیتی ، و بهره برداری از آنها وجود دارد؟ خوب ، بله ، اما اینها ویروس نیستند ، بهره برداری هستند.

این ویروس باید بر چندین مشکل دیگر که همیشه به عنوان یک نقص / مشکل لینوکس توسط مدافعان ویندوز مطرح شده است ، غلبه کند و این وجود ویروس های واقعی را پیچیده می کند - هسته هایی که دوباره کامپایل می شوند ، نسخه های زیادی از برنامه ها ، توزیع های زیاد ، مواردی که آنها نیستند به طور خودکار به طور شفاف به کاربر منتقل می شود ، و غیره -. "ویروس" های نظری فعلی باید به صورت دستی از حساب ریشه نصب شوند. اما این را نمی توان ویروس در نظر گرفت.
همانطور که همیشه به دانشجویانم می گویم: باور نکنید ، لطفاً. روت کیت را روی دستگاه بارگیری و نصب کنید. و اگر می خواهید بیشتر ، کد منبع "ویروس ها" موجود در بازار را بخوانید. حقیقت در کد منبع است. برای یک ویروس "خودخوانده" دشوار است که پس از خواندن کد آن ، نام خود را به این شکل ادامه دهد. و اگر نمی دانید چگونه کد بخوانید ، یک اقدام امنیتی ساده که توصیه می کنم: فقط از حساب root برای مدیریت دستگاه استفاده کنید و به روزرسانی های امنیتی را به روز نگه دارید.
فقط با این کار ورود ویروس ها به شما غیرممکن است و بعید است کرم ها یا کسی با موفقیت به دستگاه شما حمله کند.